Uruchamianie analizatora klienta w systemie Linux

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Jeśli występują problemy z niezawodnością lub kondycją urządzenia w usłudze Defender for Endpoint w systemie Linux i kontaktujesz się z pomocą techniczną, może zostać wyświetlony monit o podanie pakietu wyjściowego narzędzia Ochrona punktu końcowego w usłudze Microsoft Defender Client Analyzer. W tym artykule opisano sposób użycia narzędzia analizatora klienta lokalnie na urządzeniu lub razem z odpowiedzią na żywo. W obu przypadkach można użyć rozwiązania opartego na języku Python lub wersji binarnej, która nie ma zewnętrznej zależności języka Python.

Zbieranie dzienników pomocy technicznej przy użyciu odpowiedzi na żywo w usłudze Defender for Endpoint

Narzędzie XMDE Client Analyzer można pobrać jako pakiet binarny lub pakiet języka Python , który można wyodrębnić i wykonać na maszynach z systemem Linux. Obie wersje analizatora klienta XMDE można wykonać podczas sesji odpowiedzi na żywo.

• Do instalacji unzip pakiet jest wymagany.
• Do wykonania acl pakiet jest wymagany.

Ważna

Okno używa niewidocznych znaków powrotu karetki i kanału wiersza do reprezentowania końca jednego wiersza i początku nowego wiersza w pliku, ale systemy Linux używają tylko niewidocznego znaku kanału informacyjnego linii na końcu jego wierszy plików. W przypadku korzystania z następujących skryptów, jeśli jest to zrobione w systemie Windows, ta różnica może spowodować błędy i błędy skryptów do uruchomienia. Potencjalnym rozwiązaniem tego problemu jest użycie Podsystem Windows dla systemu Linux i dos2unix pakietu do sformatowania skryptu w taki sposób, aby był zgodny ze standardem formatu Unix i Linux.

Instalowanie analizatora klienta XMDE

Pobierz i wyodrębnij analizator klienta XMDE. Możesz użyć wersji binarnej lub języka Python w następujący sposób:

• Wersja binarna analizatora klienta
• Wersja analizatora klienta w języku Python

Ze względu na ograniczone polecenia dostępne w odpowiedzi na żywo szczegółowe kroki muszą być wykonywane w skryptze powłoki Bash. Dzieląc część instalacji i wykonywania tych poleceń, można uruchomić skrypt instalacji raz i uruchomić skrypt wykonywania wiele razy.

Ważna

W przykładowych skryptach założono, że maszyna ma bezpośredni dostęp do Internetu i może pobrać analizator klienta XMDE od firmy Microsoft. Jeśli maszyna nie ma bezpośredniego dostępu do Internetu, skrypty instalacji muszą zostać zaktualizowane w celu pobrania analizatora klienta XMDE z lokalizacji, do których maszyny mogą uzyskać dostęp pomyślnie.

Skrypt instalacji binarnego analizatora klienta

Poniższy skrypt wykonuje pierwsze sześć kroków uruchamiania binarnej wersji analizatora klienta. Po zakończeniu plik binarny analizatora klienta XMDE jest dostępny w /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogu.

1. Utwórz plik InstallXMDEClientAnalyzer.sh bash i wklej do niego następującą zawartość.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Skrypt instalacji analizatora klienta języka Python

Poniższy skrypt wykonuje pierwsze sześć kroków uruchamiania wersji narzędzia Client Analyzer w języku Python. Po zakończeniu skrypty języka Python analizatora klienta XMDE są dostępne w /tmp/XMDEClientAnalyzer katalogu.

1. Utwórz plik InstallXMDEClientAnalyzer.sh bash i wklej do niego następującą zawartość.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Uruchamianie skryptów instalacji analizatora klienta

1. Zainicjuj sesję odpowiedzi na żywo na maszynie, którą chcesz zbadać.

2. Wybierz pozycję Przekaż plik do biblioteki.

3. Wybierz pozycję Wybierz plik.

4. Wybierz pobrany plik o nazwie InstallXMDEClientAnalyzer.sh, a następnie wybierz pozycję Potwierdź.

5. Będąc jeszcze w sesji LiveResponse, użyj następujących poleceń, aby zainstalować analizator:

   run InstallXMDEClientAnalyzer.sh
   

Uruchamianie analizatora klienta XMDE

Odpowiedź na żywo nie obsługuje bezpośredniego uruchamiania analizatora klienta XMDE ani języka Python, dlatego wymagany jest skrypt wykonywania.

Ważna

W poniższych skryptach założono, że analizator klienta XMDE został zainstalowany przy użyciu tych samych lokalizacji ze skryptów wymienionych wcześniej. Jeśli organizacja zdecydowała się zainstalować skrypty w innej lokalizacji, skrypty muszą zostać zaktualizowane w celu dopasowania ich do wybranej lokalizacji instalacji organizacji.

Skrypt uruchamiania binarnego analizatora klienta

Wersja binarna analizatora klienta akceptuje parametry wiersza polecenia do wykonywania różnych testów analizy. Aby zapewnić podobne możliwości podczas odpowiedzi na żywo, skrypt wykonywania korzysta ze zmiennej $@ bash, aby przekazać wszystkie parametry wejściowe podane do skryptu do analizatora klienta XMDE.

1. Utwórz plik MDESupportTool.sh bash i wklej do niego następującą zawartość.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Skrypt uruchamiania analizatora klienta języka Python

Wersja analizatora klienta w języku Python akceptuje parametry wiersza polecenia do wykonywania różnych testów analizy. Aby zapewnić podobne możliwości podczas odpowiedzi na żywo, skrypt wykonywania korzysta ze zmiennej $@ bash, aby przekazać wszystkie parametry wejściowe podane do skryptu do analizatora klienta XMDE.

1. Utwórz plik MDESupportTool.sh bash i wklej do niego następującą zawartość.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Uruchamianie skryptu analizatora klienta

Uwaga

Jeśli masz aktywną sesję odpowiedzi na żywo, możesz pominąć krok 1.

1. Zainicjuj sesję odpowiedzi na żywo na maszynie, którą chcesz zbadać.

2. Wybierz pozycję Przekaż plik do biblioteki.

3. Wybierz pozycję Wybierz plik.

4. Wybierz pobrany plik o nazwie MDESupportTool.sh, a następnie wybierz pozycję Potwierdź.

5. Będąc jeszcze w sesji odpowiedzi na żywo, użyj następujących poleceń, aby uruchomić analizator i zebrać wynikowe pliki:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Lokalne zbieranie dzienników obsługi Ochrona punktu końcowego w usłudze Microsoft Defender

Ta sekcja zawiera instrukcje dotyczące uruchamiania narzędzia lokalnie na maszynach z systemem Linux.

Uruchamianie binarnej wersji analizatora klienta

Podsumowanie

1. Uzyskaj z .https://go.microsoft.com/fwlink/?linkid=2297517 Jeśli serwer z systemem Linux ma dostęp do Internetu, pobierz wget plik:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Rozpakuj pobrany plik, a następnie ponownie rozpakuj wyodrębnione pliki SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Uruchamianie pliku binarnego

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, a następnie postępuj zgodnie z instrukcjami na końcu kolekcji dzienników dzienniki będą znajdować się w /tmp katalogu.

5. Zestaw dzienników będzie własnością użytkownika głównego, więc do usunięcia zestawu dzienników mogą być potrzebne uprawnienia administratora.

6. Przekaż plik dla inżyniera pomocy technicznej.

Szczegóły

1. Pobierz narzędzie binarne analizatora klienta XMDE na maszynę z systemem Linux, którą należy zbadać.

   Jeśli używasz terminalu, pobierz narzędzie, wprowadzając następujące polecenie:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Sprawdź pobranie.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Wyodrębnij zawartość elementu XMDEClientAnalyzerBinary.zip na maszynie.

   Jeśli używasz terminalu, wyodrębnij pliki, wprowadzając następujące polecenie:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Przejdź do katalogu narzędzia, wprowadzając następujące polecenie:

   cd XMDEClientAnalyzerBinary
   

5. Tworzone są dwa nowe pliki zip:

   • SupportToolLinuxBinary.zip: Dla wszystkich urządzeń z systemem Linux
   • SupportToolMacOSBinary.zip: W przypadku urządzeń z systemem Mac zignoruj ten.

6. Rozpakuj SupportToolLinuxBinary.zip dla maszyny z systemem Linux, którą chcesz zbadać.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Uruchom narzędzie jako główny, aby wygenerować pakiet diagnostyczny:

   sudo ./MDESupportTool -d
   

Uruchamianie analizatora klienta opartego na języku Python

Uwaga

• Analizator zależy od kilku dodatkowych pakietów (decorator, , distrosh, lxml, i psutil), które są instalowane w systemie operacyjnym, gdy w katalogu głównym, aby wygenerować dane wyjściowe wyniku. Jeśli nie jest zainstalowany, analizator próbuje pobrać go z oficjalnego repozytorium dla pakietów języka Python.
• Ponadto narzędzie obecnie wymaga zainstalowania języka Python w wersji 3 lub nowszej na urządzeniu.
• Jeśli urządzenie znajduje się za serwerem proxy, możesz po prostu przekazać serwer proxy jako zmienną środowiskową do skryptu mde_support_tool.sh . Przykład: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Ostrzeżenie

Uruchomienie analizatora klienta opartego na języku Python wymaga instalacji pakietów, które mogą powodować pewne problemy w środowisku. Aby uniknąć występowania problemów, zaleca się zainstalowanie pakietów w środowisku użytkownika.

1. Pobierz narzędzie XMDE Client Analyzer na maszynę z systemem Linux, którą należy zbadać.

   Jeśli używasz terminalu, pobierz narzędzie, uruchamiając następujące polecenie:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Sprawdź pobranie.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Wyodrębnij zawartość elementu XMDEClientAnalyzer.zip na maszynie.

   Jeśli używasz terminalu, wyodrębnij pliki za pomocą następującego polecenia:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Zmień katalog na wyodrębnione miejsce.

   cd XMDEClientAnalyzer
   

5. Nadaj narzędziu uprawnienie wykonywalne:

   chmod a+x mde_support_tool.sh
   

6. Uruchom jako użytkownik niebędący użytkownikiem, aby zainstalować wymagane zależności:

   ./mde_support_tool.sh
   

7. Aby zebrać rzeczywisty pakiet diagnostyczny i wygenerować plik archiwum wyników, uruchom ponownie jako główny:

   sudo ./mde_support_tool.sh -d
   

Opcje wiersza polecenia

Podstawowe wiersze poleceń

Użyj następującego polecenia, aby uzyskać diagnostykę maszyny.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Przykład użycia: sudo ./MDESupportTool -d

Uwaga

Funkcja autoresetu na poziomie dziennika jest dostępna tylko w wersji 2405 lub nowszej.

Argumenty pozycyjne

Zbieranie informacji o wydajności

Zbierz obszerne śledzenie wydajności maszyny w celu analizy scenariusza wydajności, który można odtworzyć na żądanie.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Przykład użycia: sudo ./MDESupportTool performance --frequency 2

Tryb wykluczania

Dodawanie wykluczeń na potrzeby monitorowania poddawane inspekcji.

Uwaga

Ta funkcja istnieje tylko dla systemu Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Przykład użycia: sudo ./MDESupportTool exclude -d /var/foo/bar

Ogranicznik szybkości inspekcji

Składnia, która może służyć do ograniczania liczby zdarzeń zgłaszanych przez wtyczkę auditD. Ta opcja ustawia limit szybkości globalnie dla auditD powodując spadek wszystkich zdarzeń inspekcji. Po włączeniu ogranicznika liczba zdarzeń inspekcji jest ograniczona do 2500 zdarzeń na sekundę. Tej opcji można użyć w przypadkach, gdy widzimy wysokie użycie procesora CPU po stronie AuditD.

Uwaga

Ta funkcja istnieje tylko dla systemu Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Przykład użycia: sudo ./mde_support_tool.sh ratelimit -e true

Uwaga

Ta funkcja powinna być starannie używana jako ograniczenie liczby zdarzeń zgłaszanych przez poddawane inspekcji podsystem jako całość. Może to również zmniejszyć liczbę zdarzeń dla innych subskrybentów.

AuditD pomiń błędne reguły

Ta opcja umożliwia pominięcie błędnych reguł dodanych do pliku reguł inspekcji podczas ich ładowania. Ta opcja umożliwia podsystemowi inspekcji kontynuowanie ładowania reguł, nawet jeśli istnieje błędna reguła. Ta opcja zawiera podsumowanie wyników ładowania reguł. W tle ta opcja uruchamia parametr auditctl z opcją -c.

Uwaga

Ta funkcja jest dostępna tylko w systemie Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Przykład użycia: sudo ./mde_support_tool.sh skipfaultyrules -e true

Uwaga

Ta funkcja będzie pomijać błędne reguły. Następnie należy dokładniej zidentyfikować i naprawić wadliwą regułę.

Zawartość pakietu wyników w systemie Linux

Plik	Opis
report.html	Główny plik wyjściowy HTML zawierający wyniki i wskazówki dotyczące uruchamiania narzędzia analizatora klienta na urządzeniu. Ten plik jest generowany tylko podczas uruchamiania opartej na języku Python wersji narzędzia analizatora klienta.
mde_diagnostic.zip	Te same dane wyjściowe diagnostyki, które są generowane podczas uruchamiania narzędzia mdatp diagnostic create w systemie Linux.
mde.xml	Dane wyjściowe XML generowane podczas uruchamiania i używane do tworzenia pliku raportu HTML.
Processes_information.txt	Zawiera szczegółowe informacje o uruchomionych Ochrona punktu końcowego w usłudze Microsoft Defender powiązanych procesów w systemie.
Log.txt	Zawiera te same komunikaty dziennika zapisane na ekranie podczas zbierania danych.
Health.txt	Te same podstawowe dane wyjściowe kondycji, które są wyświetlane podczas uruchamiania polecenia mdatp health .
Events.xml	Inny plik XML używany przez analizator podczas tworzenia raportu HTML.
Audited_info.txt	Szczegółowe informacje na temat inspekcji usługi i powiązanych składników systemu operacyjnego Linux .
perf_benchmark.tar.gz	Raporty testów wydajnościowych. Ten plik jest wyświetlany tylko wtedy, gdy używasz parametru wydajności.

Zobacz też

• Omówienie funkcji analizatora klienta

• Pobierz i uruchom analizator klienta

• Uruchom analizator klienta w systemie Windows

• Uruchom analizator klienta w systemie macOS lub Linux

• Zbieranie danych na potrzeby zaawansowanego rozwiązywania problemów w systemie Windows

• Zrozumienie raportu HTML analizatora

Dokumenty dotyczące rozwiązywania problemów z usługą Defender for Endpoint w systemie Linux

• Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Badaj problemy z kondycją agenta

• Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Rozwiązywanie problemów z wydajnością Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Rozwiązywanie problemów z brakującymi zdarzeniami lub alertami dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Rozwiązywanie problemów z wynikami fałszywie pozytywnymi/negatywnymi w ochronie punktu końcowego w usłudze Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.